Facebook har tildelt en $100.000 præmie til et team af videnskabsfolk fra Tyskland for at udvikle en ny kode isolation teknik, der kan bruges til at beskytte følsomme data, mens det er ved at blive behandlet i en computer.
Prisen er opkaldt Internet Defense Præmie, og er en $100.000 i kontanter belønning, at Facebook har været at give årligt siden 2014 til de mest innovative forskning præsenteret på USENIX, en førende sikkerheds-konference, der finder sted hvert år i midten af August i USA.
Dette års vindere er de seks forskere fra Tyskland-baseret Saarland Universitet og Max Planck Institute for Software-Systemer.
Tillykke til vinderne af 2019 Internet Defense Præmie: “ERIM: Sikker, Effektiv In-process Isolation med Beskyttelse Nøgler (MPK)” (Vahldiek-Oberwagner, Elnikety, Duarte, Sammler, Druschel, & Garg) https://t.co/ikF7g5OFqZ #usesec19 pic.twitter.com/WZtZ7giGPN
— USENIX Sikkerhed (@USENIXSecurity) 15 August, 2019
Den seks mand store forskergruppe udviklet ERIM, en ny teknik, der kombinerer både hardware og software sikkerhedsfunktioner til at give en ny måde at isolere følsomme data behandles i en computer.
Det nye ved denne teknik er, at ERIM sker med lidt performance overhead, hvilket gør det ideelt til anvendelse i den virkelige verden miljøer.
Det gamle problem med at isolere følsomme data — effektivt
At isolere følsomme data under udførelse, har altid været et problem. Hjem computere eller servere, der er nødt til at holde en ansøgning, der er mest følsomme data, mens app ‘ en kører.
For eksempel, servere behovet for at isolere kryptografiske nøgler i et netværk, der vender service, så en angriber, der forbinder til serveren, vil ikke være i stand til at fange kryptering eller session-nøgler ved hjælp af sårbarheder i server-software.
Tilsvarende gælder, at angriberne kan udnytte sårbarheder i en app er knyttet komponenter/biblioteker til at udtrække følsomme brugerdata behandles af en anden komponent, f.eks. en browser, PDF-bibliotek kan give hackere adgang til adgangskoder eller cookies.
Af disse grunde, at finde en måde at isolere data har altid været et vedvarende problem. I løbet af de år, flere metoder er blevet foreslået for at løse dette problem.
På software niveau, der er en software fejl isolation (SFI), mens der på hardware-niveau er der indlejret personsøgning, VMFUNC, eller MPK. Men begge typer af beskyttelse er kendt for at kræve ændringer i en app-kode, og oversætter-system, eller er kendt for at pådrage sig ydeevne omkostninger ved udførelse af kode fra upålidelige kilder. Dette overhead er blevet målt til at variere mellem 10% og 42%, hvilket er helt på ydeevnen, at mange virksomheder kører produktion systemer, der ikke er villige til at tage.
Hvad er ERIM
ERIM blev oprettet for at behandle denne performance overhead på nogle af CPU-arkitekturer, nemlig på Intel x86 Cpu ‘ er.
Den nye teknik virker ved at udnytte Intel-hukommelse beskyttelse nøgler (MPKs), en ny hardware-baseret sikkerhedsfunktion tilføjet til Intel Cpu ‘ er siden midten af 2010’erne, som tillader data at blive behandlet indenfor en Intel CPU til at blive delt over flere CPU hukommelse virtuelle sider.
Hver hukommelse side er underskrevet af en 4-bit domæne-ID, der giver mulighed for en app proces plads til at være opdelt i mindre områder, hvor data kan bearbejdes sikkert (for at nå i-proces, data isolation).
Problemet er, at når apps udnytte de nye Intel MPK sikkerhed funktion, der skifter mellem disse domæner sinker hastigheden, hvor en app kan læse ønskede data-og dermed det resultater.
Desuden, bare ved hjælp af MPK der ikke er garanti på-processen data isolation, som en ondsindet komponent kan give sig selv muligheden for at ændre PKRU, et register, der styrer, hvilke app-komponenter kan skrive til hvilke CPU virtuel hukommelse side-effektivt at neutralisere MPK som en sikkerhed funktion.
Hvad ERIM bringer til bordet er en nær-nul-performance overhead, mens også ved hjælp af en binær inspektion teknik til at se ud for PKRU ændringer.
ERIM kan bestemme, om disse PKRU ændringer er “sikker”, og endda omskrive binær kode til at fjerne “utilsigtede hændelser af PKRU-opdatering af vejledningen,” effektivt at holde en app MPK gennemførelse sikret mod ondsindet kode, der forsøger at omgå den funktion.
I den virkelige verden anvendelighed
Ifølge forskerholdet, ERIM tests har vist, ydeevne omkostninger på under 1% til apps, der skal gøre over 100.000 skifter mellem CPU hukommelse sider-noget, der sker en masse i web-servere.
Forsøg med ERIM anvendes til NGINX viste, at en ERIM-beskyttet web server havde en web-anmodninger throughoutput af under 5% af en normal server.
Dette ville gøre det omkostningseffektivt at implementere teknik til at beskytte følsomme data, såsom kryptering eller session-nøgler på denne type af web-server.
Billede: Vahldiek-Oberwagner et al.
Desuden, ERIM også klaret sig bedre end alle andre-kode isolation teknikker, som SFI MPX, VMFUNC, eller LwC.
Billede: Vahldiek-Oberwagner et al.
Hertil kommer, at forskergruppen hævdede, at ERIM kan anvendes med lille indsats for at nye og eksisterende applikationer, kræver ikke compiler ændringer, og kan køre på et lager Linux-kernen — eliminere alle de andre spørgsmål, der stilles i-proces-kode isolation er et problem for bygherren samfund.
“Forfatterne” tilgang, der skiller sig ud, fordi det opnår langt bedre runtime effektivitet på grund af lavere faste udgifter, som gør det praktisk for real-world brug i produktionen miljøer,” siger Pieter Hooimeijer, Engineering Manager på Facebook.
“Hvis denne type af forsvaret finder udbredt anvendelse, vil det hjælpe med at fjerne en hel klasse af sikkerheds-exploits.”
Yderligere oplysninger findes i denne PDF af ERIM hvidt papir, der blev præsenteret på USENIX i sidste uge. Papir titel er “ERIM: Sikker, Effektiv In-process Isolation med Beskyttelse Nøgler (MPK).”
Relaterede cybersecurity dækning:
Apple filer retssag mod Corellium for prygl virtuelle iOS kopier til sikkerhed testsMicrosoft: Vi er deaktivering af VBScript i Windows 7, 8 for at blokere attackersFacebook til at betale forskere for at jage Instagram-apps, der misbrug bruger dataResearchers finde sikkerhedshuller i 40 kerne-drivere fra 20 vendorsGoogle ønsker at reducere levetid for HTTPS-certifikater, for at en yearDegrading Tor-netværket resultater kun koster et par tusinde dollars per måned iOS udviklere stadigvæk at bygge end-to-end kryptering til apps TechRepublicDe bedste identitetstyveri overvågning tjenester til 2019 CNET
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre